con molto piacere vi invio il link alla prima roadmap progettuale di Developers Italia: la roadmap di SPID. La abbiamo preparata in forma di bacheca di Trello:
Contiamo di aggiornarla regolarmente via via che gli sviluppi procedono. Ovviamente le card che non sono già assegnate a qualcuno sono… libere Per le card in corso, pubblichiamo direttamente il link al repository GitHub dove si svolge lo sviluppo del task, in modo che chi vuole può dare un’occhiata e contribuire. Inoltre, a breve vorrei catalogare per ciascun repository le issue che sono più facili da svolgere per chi si avvicina al progetto, e filtrarle e pubblicarle live sul sito principale (developers.italia.it).
La roadmap è lo strumento principe che ci consente di dichiarare apertamente quali sono i piani di sviluppo del progetto e quali sono le componenti dell’ecosistema software che pensiamo essere importanti. Ovviamente la roadmap è aperta a commenti e proposte da parte di tutti che valuteremo se accogliere nel piano ufficiale di sviluppo, cercando di canalizzare così le contribuzioni (fermo restando che se volete realizzare qualcosa anche fuori roadmap, non saremo certo noi a bloccarvi!).
Penso sia la prima software roadmap della pubblica amministrazione in Italia, e tutti i viaggi cominciano con piccoli passi. Spero che ci sarà molto da camminare insieme
Ciao @aqquadro in realtà è necessario perchè le soluzioni SP potrebbero essere diverse, convengo con te che questa semplifica molto. Si potrebbe pensare di metterla sulla roadmap.
Salve @rasky , è possibile inserire in roadmap anche l’implementazione di una AA di riferimento per i vari ambienti?
oltre al compemte “server” servirebbe anche il componente “client” lato fornitori di servizi utile a interrogare i fornitori di attributi qualificati?
Ho compreso che non è certo quando saranno disponibili i primi fornitori di attributi centrali, ma tra i “miei clienti” (e quelli anche non “miei”)vi è questa esigenza (la semplifico per esempi per sintesi):
ESEMPIO 1:
Servizi per il personale della Pubblica Amministrazione
Individuare tra gli utenti di un servizio di visura di dati storici detenuti dall’ente A chi sono UPG (in particolare tecnici della prevenzione di una Azienda Sanitaria Locale, ma non solo).
Alla pari l’altro mio mio cliente (la stessa Aziensa Sanitaria Locale di prima) vuole evitare di mandare 100 fax o pec ai 10 comuni dove lavora all’anno per comunicare che il tecnico x ha diritto ad accedere a funzioni di visura avanzate in quanto UPG
ESEMPIO 2:
sapere se chi accede ha una procura speciale (vedi thread chiuso)
Propongo di inserirlo in roadmap perchè altrimenti verranno riproposte soluzioni “antiche e sui generis” del tipo “ftp del cvs degli utenti” che poi dovranno essere scardinate (LOCKIN tecnologico e di fornitore )
Ciao @Cipu ovviamente puntiamo a coprire tutte le risorse necessarie, attualmente non è ancora programmato lo sviluppo quindi non ti so dare tempistiche, se vuoi collaborare e proporre una soluzione siamo aperti.
Grazie
Grazie @Cipu dalla prossima settimana inizieranno i weekly meeting e organizzeremo i team di lavoro e avvieremo nuovi progetti. Comunicherò data e ora qui sul forum.
Ciao a tutti, sottoscrivo l’esigenza di capire in che modo gli AA saranno implementati, da chi e quali richieste potranno intercettare. Lavoro in università e in particolare in questo momento stiamo rivedendo il sistema di IdM, anche al fine di renderlo SPID-compliant. Finora, per gestire l’interfacciamento tra enti, abbiamo utilizzato meccanismi di cooperazione applicativa - poco diffusi e comunque molto legati ai singoli contesti, perciò fondamentalmente point-to-point. Avendo anche esperienze di federazioni (ho collaborato con IDEM), mi interessa capire come, ad es., uno studente potrà accedere alla pre-iscrizione presso un ateneo, autenticandosi con SPID e, mediante la chiamata a un AA, presentare informazioni sulla regione di provenienza, sul possesso di un diploma e sulla tipologia dello stesso e così via (elenco esemplificativo). Altro caso di cooperazione inter-enti: un Comune offre borse di studio agli studenti universitari più meritevoli: contatta un IdP ‘agnostico’ come SPID e le università come AA, e raccoglie le info necessarie. Ovviamente sono solo esempi ma è davvero utilissimo comprendere meglio le modalità di funzionamento. Grazie mille in generale per questo forum e in bocca al lupo a tutti i roadmapper!
Ciao @bonariabiancu le attribute authority su SPID saranno composte principalmente da soggetti che detengono la titolarità dell’informazione erogata (Camere di Commercio/Unioncamere/Infocamere per le imprese ad esempio) e, soprattutto, per una migliore gestione e funzionalità il dato deve essere centralizzato. Riguardo dati come, ad esempio, quelli da te menzionati che, da ciò che è a mia conoscenza, non sono centralizzati ma che dovrebbero essere erogati dalla singola università, risulta complesso l’implementazione di un AA a meno che il MIUR non la proponga. Altra strada, visto che lo stesso piano triennale lo prevede, può essere percorsa la strada delle API.
Ciao, grazie della risposta. In generale, spero che tutti i servizi che verranno implementati in futuro, possano essere accessibili mediante API (RESTful): per gli studenti vi sono diverse banche dati ministeriali, anche se non contengono tutte le info che potrebbero essere necessarie a un ente-client (IdP o SP, a seconda dei servizi). Un dato importante di cui tener conto è la proprietà dei dati e l’autorizzazione all’accesso, che deve essere mediata in qualche punto del percorso - oppure direttamente a valle, autorizzando chi emette la richiesta ad accedere a certi dati. Seguirò gli sviluppi…
@bonariabiancu condivido esattamente ciò che dici, gli attributi sono necessari però solo a servizi quindi SP. Riguardo le API c’è un asse dedicato sul piano triennale e ci stiamo lavorando. Aggiungerei anche un piccolo tip… ovvero l’aggiornamento della base dati e la consistenza.
Sì, quando penso a enti-clienti di un servizio penso anche a quelli che tradizionalmente sono IdP (un ateneo, ad es.) che, in quanto oggetto di una richiesta da parte di un SP, potrebbero diventare di fatto una AA, come dici tu. Lo stesso ateneo è al contempo anche SP. Ma non so se sia questo il modello che sarà implementato (completa intercambiabilità del ruolo dell’ateneo: IdP/SP [come è già adesso]+ AA).
Diciamo che l’intermediazione della AA aggiunge uno step ulteriore nel workflow della gestione delle identità.
Sulle banche dati ministeriali - su alcune di esse - c’è stato negli ultimi anni un gran lavoro riguardo alla completezza e alla consistenza. Negli atenei c’è molta attenzione su questo. Sto leggendo il Piano e mi sembra un grandissimo, fantastico sforzo teso al raggiungimento dell’interoperabilità. La completezza e la consistenza delle banche dati devono essere un pre-requisito perché siano utilizzabili.
Un elemento di interesse in questo ambito (SPID) è ORCID: per i docenti e ricercatori è diventato de facto l’identificativo univoco utilizzato sia nelle banche dati interne (es.: gestionali della ricerca) sia in quelle editoriali o sui siti degli editori. E si porta dietro parecchie informazioni. In pratica è diventato un proxy per recuperare o aggiornare le informazioni principali relative all’attività scientifica. Sarebbe interessante pensare a una forma di interoperabilità con SPID.
@bonariabiancu sono daccordissimo che SPID deve “parlare” anche con altri sistemi e interoperare. Non conosco il progetto ORCID, ho letto seguendo il link qualcosa sulla presentazione, magari potresti proporre tu un “collegamento” tra SPID e questo progetto. Riguardo il “contatto” tra federazioni in SPID ci sono già degli Atenei come Politecnico di Milano, Torino, La Sapienza di Roma che ovviamente sono anche parte di IDEM, sulle attribute authority importante sarà il ruolo del MIUR nel definire i dati qualificabili.
Ciao, volentieri - per quello che è nelle mie possibilità! Potremmo pensare a dei processi di interop tra SPID e ORCID, tenendo presente che il secondo è solo un identificativo univoco e permanente (non implica autenticazione con credenziali (vedi sotto però).
Il punto di interesse di ORCID è che ce l’hanno tutti i docenti e i ricercatori italiani - e peraltro l’hanno attivato in seguito a una campagna coordinata da CRUI (Conferenza Rettori Italiani), ANVUR (Agenzia Valutazione) e CINECA (Consorzio di atenei e MIUR). Tale campagna è stata supportata da un GdL di cui ho fatto parte: poiché si trattava della creazione massiva di questi identificativi, è stato creato un hub a livello nazionale, che ha fatto da proxy tra i gestionali (e le autenticazioni) locali ai singoli atenei, e ORCID. L’hub nazionale sfruttava le API premium di ORCID e consentiva ai gestori di progetto negli atenei di seguire la creazione degli account ORCID da un cruscotto dedicato. Tali modalità di adozione hanno fatto sì che ORCID fosse associato a delle credenziali istituzionali (o dell’ateneo/ente di ricerca oppure direttamente del MIUR). Cioè: la parte iniziale di autenticazione contro le directory di ateneo era una conditio sine qua non per accedere al componente di attivazione ORCID. Tuttora sul sito di ORCID si può accedere sia come singolo (anche con OAuth) sia con account istituzionale.
A ORCID possono essere associati altri id - e questo potrebbe essere un primo passo verso SPID.
Da capire, poi, se il processo di autenticazione istituzionale che è stato considerato come il primo step per l’attivazione di ORCID possa in qualche modo rientrare nei LoA previsti dai vari standard. Bisogna rifletterci un momento…
A latere di ORCID, volevo poi aggiungere che ci sarebbe la possibilità da parte del MIUR di utilizzare le bd nazionali come AA. Per quanto riguarda sia ricerca che didattica, queste vengono ormai alimentate dinamicamente dagli atenei.
Ciao, buon lavoro.
Bonaria
Per le card in corso, pubblichiamo direttamente il link al repository GitHub dove si svolge lo sviluppo del task, in modo che chi vuole può dare un’occhiata e contribuire. Inoltre, a breve vorrei catalogare per ciascun repository le issue che sono più facili da svolgere per chi si avvicina al progetto, e filtrarle e pubblicarle live sul sito principale (developers.italia.it).
Bene